企業内部からの情報漏えい事例と対策 ブックマークが追加されました
ナレッジ
企業内部からの情報漏えい事例と対策
クライシスマネジメントメールマガジン 第40号
丸ごとわかるフォレンジックの勘所 第34回
本シリーズでは、フォレンジックの勘所を不正の予防・発見、対処、再発防止の全プロセスにわたり、複数回に分けて紹介します。本稿では、従業員や退職者などが故意に機密情報等を流出させる企業内部からの情報漏えいについて解説します。
I. 内部からの情報漏えいに関するリスク
企業にとって、情報漏えいは最も避けなければならないクライシスの一つである。自社の技術やノウハウに関連する情報の流出による被害は、企業価値を大きく棄損することになる。また、個人情報や顧客情報の流出は、企業の信用失墜、ひいては損害賠償につながりかねない。
去る2020年12月にデロイト トーマツが発行した「企業の不正リスク調査白書 Japan Fraud Survey2020-2022」によれば、「経営者が対峙すべき不正のタイプ」は「会計不正」に次いで「情報漏えい」が2位となっている。これは2018年の不正リスク調査白書においても同様の結果であることから、経営者の最大の関心事の一つであることは明白である。
情報漏えいというと、サイバー攻撃など企業外部からの不正アクセスやウイルス感染などを原因とするものを想像しがちであるが、企業内部からの情報漏えいが原因となる場合もある。具体的には、設定ミス、誤操作などの人為的なミスにより発生する場合や、企業内部者が悪意を持って機密情報を流出させる場合もある。このような場合、企業内部者に情報漏えいの要因があることから、企業の社員教育等の適切性や社会的な責任を追及される場合が多い。
なお、内部者には企業に所属している従業員だけではなく、退職者など機密情報にアクセスする権限をかつて有していた者や業務委託者など一時的かつ限定された範囲内で権限を有していた者までも含み、その誰もが実行者になり得る。そのため、実際に情報が流出しているのか、流出した情報の範囲はどれほどなのか、企業側が正確に把握していない場合も多い。
今回は、内部者が悪意を持って情報漏えいを行った場合に絞って解説する。
II. 事例
内部からの情報漏えいについて事例を紹介する。
1. 情報通信業
2020年、退職した従業員が営業秘密を退職申告から退職までの期間に不正に持ち出していたことが発覚した。当該従業員は営業秘密へのアクセス権限を有し、該当ファイルを自らが管理するメールアドレス宛に送付したとされており、退職した翌日には同業他社へ転職した。ネットワーク用の基地局に関する技術情報が流出したとされている。
2. ソフトウェア開発・販売業
2019年、ユーザーの一部が同社になりすました電話を受けていることが発覚した。外部からのサイバー攻撃による顧客情報の流出を疑い調査を開始したが、のちに同社従業員による内部不正であることが判明した。当該従業員は顧客サポートのデータベースに不正アクセスし、顧客情報を第三者へ売却していた。数万件の顧客情報(氏名、メールアドレス、一部の電話番号など)が流出したとされている。
3. 医療機器製造業
2018年、元従業員の退職を受け、使用していたパソコンを調査した結果、機密情報を抽出したログを発見した。従業員に確認したところ、USBメモリを介して私用パソコンに情報を持ち出していた。同社が医療機関から提供を受けていた患者情報や、アンケートに回答した医療従事者の情報が流出したとされている。
III. 内部からの情報漏えいが起きる背景
悪意を持って情報漏えいがなされたのであれば、それは内部者による「不正」である。内部からの情報漏えいがなぜ起きるのか、不正リスク要因(不正のトライアングル)に当てはめて考えると次のように整理されるであろう。
動機:
外部者に内部情報を売ることで多額の見返り・社会的地位を得る / 不当な評価に対する恨み 等
機会:
企業の情報セキュリティの脆弱性 / コロナ禍によるリモート化に伴う例外処理の悪用 等
正当化:
自分はもっと評価されるべきであり追加の報酬を得るのは当然 / 皆がしていることであり問題ない 等
これらの要因3つ全てが揃ったときに不正が実行されると考えられているが、効果的な対策としては、それぞれの要因に対して、優先順位を付けつつ多面的に対応することが有用であろう。この点、「機会」に対しては、情報管理の徹底・強化等を通じて、情報漏えいを直接的に防止することが可能である。一方、「動機」および「正当化」に対しては、従業員のコンプライアンス意識の向上が求められる。従業員のコンプライアンス意識の向上は、不正の根絶につながることから重要性が高いと考えられるものの、非常に時間を要するのが通常である。従って、企業は、企業内部からの情報漏えいの「機会」が存在していないかという点から、優先的に取り組むことが効果的であると考えられる。
IV. 対策
具体的にこうした内部による情報漏えいを防止・発見するためには次のような対策が考えられる。
A) 情報管理の徹底・強化
情報管理の徹底・強化として、以下のようなID/パスワード管理および文書管理の徹底、アクセス制限の強化等がある。さらには電子文書化、バーチャルデスクトップ化でユーザー側の操作制限、構造化、履歴可視化を徹底していく。これらは、情報漏えいの機会を一律に減少・防止させる効果を有する。
- ID/パスワード管理の徹底:退職者、休職者のIDの迅速な削除
- IDの棚卸し:IDを有する社員の実在性(幽霊社員の有無)を他の資料(人事DBや本人確認書類等)と照合
- 文書管理:電子データおよび紙資料について、分類、整理、保存、廃棄に関するルール整備、および定期的な棚卸
- 機密情報管理:個人情報を含む機密情報について、必要な部署、職位に重要な電子データへのアクセス権を制限、紙資料の施錠管理および持ち出し制限等
- セキュリティ対策:USBメモリなど外部記録媒体の使用制限、紙媒体への出力制限、シンクライアント端末の導入等
- 委託先管理:委託先の選定基準の厳格化、情報管理の状況の継続管理
B) 退職者への牽制・レビュー手続
近年の動向を踏まえると従業員の退職をきっかけとする情報漏えいも散見されることから、比較的リスクが高いと考えられる。従って、従業員の退職の際には以下のような手続きが有用であろう。これらにより、退職者による情報漏えいを防止する効果等が期待できる。
- 退職者に対するインタビュー:退職理由や転職先等について可能な範囲で聴取
- 宣誓書の受領:秘密厳守および違反した場合には訴訟等の可能性がある点について署名
- 社用端末や電子メールのログ解析:リスクがあると判断される退職者に関しては、直近の重要情報に関するアクセス履歴やメール履歴をレビュー
C) モニタリング活動
情報漏えいを事前に防止する手続を構築したとしても、統制の不備を通じて、不正が発生する可能性がある。そのため、情報漏えいの有無を確認するため、従業員のメールやアクセスログを定期的にレビューする手続が考えられる。これらの活動を周知することで、「見られている」というプレッシャーを従業員に与えることができ、結果的に情報漏えいを抑止できる効果がある。また、情報漏えいの検出が事後的になったとしても、(1) その原因を究明することで、今後の情報漏えいを防止するための追加の対応策を構築できること、また、(2) 情報漏えいを早めに検出することを通じて、必要な対応策(初動調査体制の構築、各ステークホルダーへの対応等)を早期に実施し、結果的に被害を最小限に抑えることが期待できる。
- メールレビュー:外部アカウントなどのメールのやり取りの定期的なレビュー
- アクセスログレビュー:社内重要データに対するアクセスログの定期的なレビュー
- 関連者への周知:関連する従業員や委託先等に対してモニタリング活動を周知
D) コンプライアンス意識向上
情報漏えいの「動機」や「正当化」の根絶・牽制には、コンプライアンス意識の向上が有用である。前述の通り、当該施策の推進には非常に時間を要するのが通常である。しかし、仮に関連する全員が高いコンプライアンス意識を有しているとしたら、情報漏えいなどは生じないはずである。従って、企業は時間をかけてコンプライアンス意識の向上に努めるべきであろう。具体的には、以下のような対策が考えられる。
- 研修開催:定期的な情報漏えいに関するコンプライアンス研修の開催
- 事例/罰則の共有:情報漏えいの具体例や、それに伴う報酬受領が罰則対象となることを共有
- 評価制度:納得感のある評価・報酬制度の確立
E) 危機管理マニュアル
情報漏えいを含む不祥事対応では、その事象の検知・報告が遅れてしまうと、隠蔽体質等と批判されかねない。従って、不祥事発生後の対応方針を事前に整備しておくことは、迅速かつ適切な初動対応を可能とし、早期の信頼回復につなげることが出来る。具体的には、以下について危機管理マニュアルで整備し、経営陣も含めて理解することが重要である。
- 迅速な事象検知のための初期調査、体制構築、調査方針の決定方法
- ステークホルダー(顧客、官公庁、従業員、メディア等)ごとの情報共有の順番・開示要否の判断基準
- 不祥事の発生要因を根絶するための再発防止策の策定・定着・モニタリング手法
V. おわりに
コロナ禍による出社率の制限を行い、テレワークへ切り替えて1年以上経過した企業も多くあると思われる。遠隔地から内部者が情報を盗み取ることは難しいと思われるかもしれないが、不正行為者からすれば、テレワークへの移行はオフィス内の監視の目が減っている好機であると考えられる。また、コロナ禍により設けられた例外的ルールの穴を突くことも考えられる。
外部からのサイバー攻撃だけでなく、内部からの情報漏えいという観点から自社の情報セキュリティを再点検し、不正の「機会」を断ち切る必要があるのではないだろうか。
※本文中の意見や見解に関わる部分は私見であることをお断りする。
